Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

SD-WAN 概述

简单来说,软件定义 WAN (SD-WAN) 是指将软件定义网络 (SDN) 原则应用于 WAN。在 SD-WAN 中,可以根据指定的服务级别协议 (SLA) 标准动态控制和选择应用程序流量的路径。因此,SD-WAN 使您能够识别应用程序流量的最佳路径,然后转发该路径上的流量。

根据 Gartner 的数据,SD-WAN 具有以下特点:

  • 同时支持多种 WAN 连接类型(如 MPLS、互联网、LTE)。

  • 动态选择流量路径的能力,从而允许跨 WAN 连接共享流量负载。

  • 简化 WAN 管理和监控的能力。

  • 支持 VPN 和其他第三方服务,例如网关和防火墙。

CSO 支持站点的以下 SD-WAN 服务类型:

  • 安全 SD-WAN 基本要素 — 提供基本 SD-WAN 服务。这项服务非常适合寻求简化其网络管理并在分支机构站点提供全面的 NGFW 安全服务的小型企业。SD-WAN Essentials 服务允许互联网流量在本地分支,从而避免通过昂贵的 VPN 或 MPLS 链路回传 Web 流量。此服务支持基于意图的防火墙策略、WAN 链路管理和控制、通过静态 VPN 连接的站点之间由 CSO 控制的路由以及通过 MPLS 或互联网链路实现站点到站点通信等功能。具有 SD-WAN Essentials 服务级别的租户只能创建 SD-WAN Essentials 站点。

    注意:

    如果您购买了相应的许可证,您可以通过编辑来自 CSO 管理门户的租户信息,将租户的 SD-WAN 服务级别从 SD-WAN Essentials 升级到 SD-WAN Advanced。

  • 安全 SD-WAN 高级 — 提供完整的 SD-WAN 服务。具有安全 SD-WAN 高级服务的租户的所有站点都以全网状或中心辐射型拓扑连接。SD-WAN Advanced 服务包括 SD-WAN Essentials。

    注意:

    CSO 5.4 或更低版本的 SD-WAN 站点被视为 SD-WAN 高级站点。您不能将租户的 SD-WAN 服务级别从 SD-WAN Advanced 降级为 SD-WAN Essentials。

无 SD-WAN 和带 SD-WAN 的分支机构管理

图 1 显示了一个拓扑结构,其中在没有 SD-WAN 的情况下管理分支机构。在这种情况下,服务提供商 (SP) 维护支持服务质量(支持 QoS 的)网络和分支机构,并管理流量(包括路由公告)和 VPN。在 图 1 中,以阴影长方形为界的区域表示了服务提供商管理和维护的内容。

图 1:无 SD-WAN Branch Management Without SD-WAN 的分支机构管理

分支机构客户将流量通过两个冗余链路中的一个定向到两个提供商边缘 (PE) 路由器中的一个,而该路由器的流量将转发到虚拟路由和转发 (VRF) 实例内部。通常,PE 路由器配置在主动备份模式(用于冗余),其中流量在任何给定时间仅通过一个路由器。PE 路由器为流量构建队列,并且队列在支持 QoS 的 MPLS 网络中受到尊重,该分支机构客户。此外,可能会为需要有保证带宽的应用程序保留带宽。或者,服务提供商可以提供额外的增值服务,其中流量使用差异化服务代码点 (DSCP) 值进行标记,并将 DSCP 值遵循到网络中的下游位置。

图 2 显示了使用 SD-WAN 管理分支机构的拓扑。在这种情况下,服务提供商提供 PE 路由器和 MPLS 网络, 并可以 成为互联网网络的提供商。但是,企业可以选择添加其他网络(例如宽带互联网),而不是使用服务提供商的网络,而且企业可以管理客户端设备 (CPE) 设备。

图 2:使用 SD-WAN Branch Management With SD-WAN 管理分支机构

要构建 VPN,流量必须通过不同的网络进行隧道传输。因此,您可以使用底层构建通过网络到下一元素(节点)的隧道,而不是通过底层发送流量。要动态选择流量路径,您需要具有应用程序感知(也称为应用程序感知)流量引导,以识别应用程序,监控流量所在的隧道(路径),并决定发送流量的隧道。如果隧道降级,SD-WAN 控制器可以将流量移动到其他隧道。在 SD-WAN 场景中,两个隧道同时处于活动状态。

因此,在 SD-WAN 场景中,您不会将流量挤入队列中;而是识别流量并选择发送流量的隧道在整个网络中提供的服务(如路由反射)可以移动到顶部,如图 2 所示。

注意:

在使用 SD-WAN 的分支机构管理中,如果需要,您可以在拓扑中配置冗余 PE 路由器。( 图 2 中未显示。)

SD-WAN 叠加隧道

在 SD-WAN 中,叠加隧道(参见 图 3)与传输无关,这意味着这些隧道的构建独立于网络的底层传输技术(如 MPLS 或互联网)。隧道基于分配给 WAN 接口的 IP 地址构建,可以在一个分支(分支)与另一个分支之间,或者分支与中心(总部)之间。

在 CSO 中,您可以使用 IPsec 构建 GRE 隧道或 GRE 隧道,以进一步增强安全性。当 CSO 识别应用程序时,它会创建写在外部隧道中的内部 DSCP 标记,以便尊重外部网络中可能存在的转发队列。

注意:

在 CSO 中,术语 MPLS 是指 QoS 设计的路径,用于指定网络。因此,CSO 不会在底层上创建 MPLS 帧,只会创建以太网帧。
图 3:SD-WAN 叠加隧道(与传输无关) SD-WAN Overlay Tunnels (Transport-Agnostic)

高级 SD-WAN 架构

图 4 显示了高级 SD-WAN 架构的示例。有两个分支站点连接到 SD-WAN 网关(也称为分支或 CPE 设备),一个中央站点(总部)连接到另一个 SD-WAN 网关,后者可能是中枢设备。此外,SD-WAN 控制器可使用单个 UI 控制 SD-WAN 网关、管理设备、创建隧道等。

图 4:SD-WAN 架构 Example of SD-WAN Architecture示例

图 5 显示了如何在包含一个分支站点和一个中心站点的拓扑中使用 CSO 应用 SD-WAN。CSO 为通过 MPLS 网络的 WAN 链路构建一条隧道,为通过互联网传输的 WAN 链路构建另一条隧道。配置 SD-WAN 时,您可以确保关键任务应用程序数据通过 MPLS 链路(可靠和安全的路径)发送,非任务关键型应用程序数据通过互联网链路(尽力而为,非安全路径)发送。

图 5:CSO SD-WAN 拓扑的示例 Example of a CSO SD-WAN Topology

其他信息

有关 CSO SD-WAN 的更多信息,请观看 Contrail SD-WAN 演示 - 15 分钟,15 项功能 视频。